เตือน ระวังกลโกงใหม่สุดเนียน คลิกลิงก์เดียว อาจถูกแฮกไม่รู้ตัว

วันที่ 20 พ.ย.68 เพจ ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล - PDPC Eagle Eye โพสต์ระบุว่า เตือนภัย เทคนิคฟิชชิ่งใหม่ Browser-in-the-Browser (BitB) แนบเนียนจนคุณอาจตกเป็นเหยื่อ มิจฉาชีพออนไลน์ไม่เคยหยุดพัฒนา ล่าสุดมีการอัปเกรดชุดเครื่องมือฟิชชิ่งที่ชื่อว่า "Sneaky 2FA" ให้ฉลาดและน่ากลัวยิ่งขึ้น ด้วยเทคนิคที่เรียกว่า Browser-in-the-Browser (BitB) ที่สามารถสร้าง "หน้าต่างล็อกอินปลอม" ขึ้นมาซ้อนทับบนหน้าเว็บจริงได้อย่างแนบเนียน จนแยกแทบไม่ออก
 

รู้จักเทคนิค Browser-in-the-Browser (BitB)
ลองจินตนาการว่าคุณกำลังจะล็อกอินเข้าบัญชี Microsoft แล้วมีหน้าต่างป๊อปอัปเด้งขึ้นมาให้กรอก Username/Password
 
เทคนิค BitB คือการสร้าง "หน้าต่างป๊อปอัปปลอม" ที่ดูเหมือนของจริงทุกประการ แม้กระทั่งแถบ URL ด้านบนก็ยังแสดงเป็น login.microsoftonline.com ที่ดูน่าเชื่อถือ แต่แท้จริงแล้วมันเป็นแค่ "รูปภาพ" หรือโค้ดที่สร้างขึ้นมาเพื่อหลอกให้เราตายใจ แล้วขโมยข้อมูลที่กรอกลงไปทั้งหมด
 
"Sneaky 2FA" ใช้งานมันอย่างไร? 
แฮกเกอร์ใช้เทคนิคนี้กับเป้าหมายที่ต้องการขโมยบัญชี Microsoft โดยมีขั้นตอนดังนี้
 
• ส่งลิงก์ลวง: เหยื่อได้รับลิงก์ให้เข้าไปดูเอกสารสำคัญ (เช่น previewdoc.us)
• ผ่านด่านป้องกันบอท: หน้าเว็บอาจมี CAPTCHA หรือ Cloudflare เพื่อให้ดูน่าเชื่อถือ และป้องกันโปรแกรมสแกนอัตโนมัติ
• กดปุ่มล็อกอิน: เมื่อเหยื่อกดปุ่ม "Sign in with Microsoft" เพื่อดูเอกสาร...
• หน้าต่างปลอม: หน้าต่างล็อกอินปลอมแบบ BitB จะเด้งขึ้นมา เมื่อเหยื่อกรอกข้อมูลและรหัส 2FA ข้อมูลทั้งหมดจะถูกส่งตรงไปให้แฮกเกอร์ทันที
 

นอกจากนี้ พวกเขายังเปลี่ยนโดเมนเนมบ่อย และใช้เทคนิคซ่อนโค้ดเพื่อไม่ให้โปรแกรมความปลอดภัยตรวจจับได้
 
ขนาด Passkeys ก็ยังไม่รอด? ภัยคุกคามใหม่ที่ต้องระวัง แม้แต่เทคโนโลยีความปลอดภัยใหม่ล่าสุดอย่าง Passkeys (การล็อกอินโดยไม่ต้องใช้รหัสผ่าน) ก็เริ่มมีช่องโหว่ให้โจมตีได้แล้ว
 
• Passkey Pwned Attack: แฮกเกอร์สร้าง "ส่วนขยายเบราว์เซอร์ (Extension) ปลอม" เมื่อเราติดตั้ง มันจะดักจับขั้นตอนการสร้าง Passkey แล้วสร้าง "กุญแจของแฮกเกอร์" ขึ้นมาแทน ทำให้แฮกเกอร์สามารถล็อกอินเข้าบัญชีเราได้จากเครื่องของตัวเอง โดยไม่ต้องใช้อุปกรณ์หรือลายนิ้วมือของเราเลย!
• Downgrade Attack: เว็บฟิชชิ่งจะหลอกให้เรา "ลดระดับ" ความปลอดภัยลง โดยอาจจะขึ้นข้อความว่า "Passkey มีปัญหา กรุณาล็อกอินด้วยรหัสผ่านแทน" เพื่อให้เรากลับไปใช้วิธีเก่าที่พวกเขาสามารถดักขโมยข้อมูลได้
 
เราจะป้องกันตัวเองและองค์กรได้อย่างไร?  
• อย่าคลิกลิงก์มั่วซั่ว: ระวังอีเมล, SMS หรือข้อความแปลกๆ ที่ส่งมา แม้จะมาจากคนที่รู้จักก็ตาม
• ตรวจสอบ URL เสมอ: ก่อนกรอกข้อมูลใดๆ ลองขยับหน้าต่างป๊อปอัปดู ถ้ามันขยับได้แค่ในหน้าเว็บ แต่ลากออกมานอกเบราว์เซอร์ไม่ได้ แสดงว่าเป็นของปลอม!
• อย่าติดตั้งส่วนขยายเบราว์เซอร์ที่ไม่จำเป็น: ตรวจสอบผู้พัฒนาและความน่าเชื่อถือก่อนติดตั้งทุกครั้ง

ขอบคุณ ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล - PDPC Eagle Eye